IPFS 分散型ファイル・システムとサイバー犯罪:フィッシング・キャンペーンの温床?

Researchers Warns of Increase in Phishing Attacks Using Decentralized IPFS Network

2022/07/29 TheHackerNews — IPFS と呼ばれる分散型ファイル・システム・ソリューションが、フィッシング・サイトをホストするための新たな温床になりつつあると、研究者たちが警告を発している。サイバー・セキュリティ企業の Trustwave SpiderLabs は、特定された過去3ヶ月間の攻撃キャンペーンの詳細を公開し、攻撃ベクターとして IPFS フィッシング URL を含む、3,000 以上の電子メールを確認したと述べている。

IPFS は、InterPlanetary File System の略であり、従来からのクライアント・サーバー方式で見られるような URL やファイル名の代わりに、暗号化ハッシュを用いてファイルやデータを保存/共有する Peer-to-Peer (P2P) ネットワークである。つまり、それぞれのハッシュが、一意のコンテンツ識別子 (CID) の基礎となる。

この考え方は、複数のコンピュータにデータを分散/保存できる、弾力性のある分散ファイル・システムを構築するためのものである。それにより、クラウド・ストレージ・プロバイダーなどの第三者に頼ることなく、情報にアクセスできるようになり、検閲にも耐えられるようになる。

Trustwave の研究者である Karla Agregado と Katrina Udquin は、「IPFS に保存されているフィッシング・コンテンツの削除が困難なのは、あるノードで削除されても、他のノードにおいては、依存として利用できる可能性があるためだ」と報告書で述べている。

さらに問題を複雑にしているのは、マルウェアを含む単一のコンテンツの場所を特定し、ブロックするために使用できる、静的な URI (Uniform Resource Identifier) が存在しないことだ。このことは、IPFS をホストとするフィッシング・サイトを閉鎖することが、より困難になる可能性があることも意味している。

Fake Microsoft log-in page : Source Trustwave

Trust が観測した攻撃は、何らかのソーシャル・エンジニアリングを用いて標的の警戒心を低下させ、不正な IPFS リンクをクリックさせ、感染チェーンを起動させるというものだ。

これらのドメインは、文書の閲覧/DHL の荷物追跡/Azure の契約更新などに用いられる、認証情報などを潜在的な被害者に入力させ、電子メールアドレスとパスワードをリモート・サーバーに吸い上げるだけである。

研究者たちは、「IPFS は、データの永続性/堅牢なネットワーク/規制の少なさなどにより、攻撃者が悪意のコンテンツをホスト/共有するための、理想的なプラットフォームと言えるだろう」と述べている。

今回の発見は、電子メールの脅威を取り巻く環境が、大きく変化している中で行われた。Microsoft がマクロのブロックを計画しているため、脅威アクターたちは、標的の偵察/データの窃取に加えて、ランサムウェアの実行ファイルを配布するための戦術を再適応させている。

このように考えると、IPFS の利用はフィッシングの進化を意味し、攻撃者のための新たな実験場を提供することになる。

研究者たちは、「IPFS を悪用する分散型クラウドサービスのコンセプトを活用することで、フィッシングのテクニックは飛躍的に向上した。また、URL レピュテーションや自動 URL 解析を行うスキャナーを妨害するために、複数の URL リダイレクト技術を使用することも可能だ」と結論付けている。

さらに、これらの変化は、既製のフィッシング・キットの使用 (phishing-as-a-service : PhaaS) も伴っており、脅威アクターは、電子メールや SMS を介して、迅速かつ容易に攻撃を仕掛けることが可能となる。

Crafting a phishing page on the Robin Banks platform : Source IronNet

実際のところ、先月に発見された大規模なキャンペーンは、4ヶ月前から運用されている Robin Banks と呼ばれる PhaaS プラットフォームを用いて、オーストラリア/カナダ/英国/米国の有名銀行の顧客から認証情報を抜き取り、さらには、財務情報を盗む行為が確認された。このインシデントについては、サイバー・セキュリティ企業の IronNet が、今週に明らかにしている。

研究者たちは、「このキットを使用する詐欺師たちの、主たる動機は金銭的なものと思われる。また、このキットは、被害者をフィッシングのランディング・ページに誘導した後に、Google や Microsoft の認証情報を要求しており、ランサムウェアなどの活動のために、企業ネットワークへのイニシャル・アクセスを得ようとしている。それらの天から、高度な技術を持つ、脅威アクターにより使用される可能性がある」と述べている。

IPFS (InterPlanetary File System) は、 インターネット上の理想の分散型ファイル・システムなんですね (入谷徹さんのブログ記事わかり易いです)。その反面、このような脅威アクターに悪用されると、とんでもない厄介なプラットフォームになるのですね。テクノロジーは、すべからくダブルエッジと思えば、致し方ないことなのでしょう。このブログにも、Phishing-as-a-Service の記事と、Phishing Kit の記事がありますので、よろしければ、ご参照ください。